TeamWARE Office 200X V2.0 管理者ガイド
目次 索引 前ページ次ページ

第11章 エンタープライズの管理> 11.4 サイト間直接アクセスの環境設定

11.4.1 サイト間直接アクセスの認証

サイト間直接アクセやフォーラムレプリケーションを利用するには、それらのサイト間の信頼関係を保証する証明が必要です。証明書の発行は、エンタープライズシステム内のどれか1つのサーバで行います。このサーバを証明書発行サーバ、またはCA(Certificate Authority)と呼びます。また、証明書発行サーバの所属するサイトを証明書発行サイと呼びます。同一の証明書発行サーバから証明書を発行してもらったサイト間では、利用者はログインし直さなくても、ほかのサイトのサーバに直接的にアクセスできます。TeamWARE Officeの証明書発行サーバが発行する証明書は、業界標準に基づいた公開キー技法による証明書です。この証明書機能を使用することにより、サイト間の不正なアクセスを未然に防止できます。

この証明書を持たないサイトからは、たとえ同じエンタープライズシステムを構成するサイトであっても、サイト間直接アクセスやフォーラムレプリケーションは利用できません。したがって、セキュリティ面で安全なシステムとして運用できます。

証明書の発行は、以下のように行います。

なお、サイトを追加した場合、および証明書発行サイト自身に対してもほかのサイトとの直接アクセスを許可したい場合には、3以降の作業を行います。

操作方法

  1. エンタープライズ内のどれかのサーバを証明書発行サーバと決定します。通常は、エンタープライズマスターサイトのDirectoryサーバとします。
  2. 証明書発行サーバで認証用のファイルを作成します。
    証明書発行サーバのコマンドプロンプト画面から、以下のコマンドを入力します。


    to ca -a -n "o=組織名,c=国名" [-y 有効年数]

    このコマンドにより、以下の3種類のファイルがサブディレクトリ“ca”に作成されます。

    ca.crt

    証明書発行サーバ自身の証明書ファイル

    ca.key

    証明書発行サーバの秘密キーファイル

    Serial.dat

    証明書番号ファイル
    証明書発行サイトを1として、以降は証明書の発行順に割り当てます。

    証明書発行サーバ自身の証明書ファイルの有効期限は、作成時に有効期限を指定しなかった場合は5年です。

    本証明書の有効期限が切れると、サイト間直接アクセスを行っているすべてのサイトの証明書の再発行が必要となりますので、有効期限を可能な限り長期間(指定可能な最大年数は93年)を指定してください。


  3. サイトの証明申請書ファイルとキーペア(公開キーと秘密キーのペア)を作成します。
    証明書を申請するサイトのDirectoryサーバのコマンドプロンプト画面から、以下のコマンドを入力します。


    to ca -s -n "cn=サイト名,l=エリア名,
    o=組織名,c=国名" -x証明申請書ファイル名

    証明申請書ファイルは、パス名を付けずに指定することもできますが、作成したファイルは証明書発行サーバへ移動する必要があるため、フロッピィディスクのドライブなどを指定します。たとえば、“site1”というファイル名でaドライブに作成する場合、“a:site1.crq”と指定します。ファイル名は、必ず拡張子“.crq”を付けた形式で指定します。

    証明書申請書ファイルのパス名を付けずに指定した場合、証明書申請書ファイルは、サブディレクトリ“site”に作成されます。

    このコマンドは、指定した証明申請書ファイルのほかに、以下のキーファイルを作成します。このキーファイルは、サブディレクトリ“site”に作成されます。

    site.key

    このサイトの秘密キーを格納したファイル

    サイトの証明申請書ファイルは、証明書発行サイト、証明書を申請するサイトのいずれのサイトでも作成できます。ただし、“site.key”ファイルは、必ず“site”サブディレクトリに作成されるため、証明申請書ファイルを証明書発行サイトで作成する場合には、他のサイトの“site.key”を上書きしないように注意する必要があります。これを防止するために、-kオペランドでキーファイル名を指定することをお勧めします。

    ここで作成される“site.key”の機密保護には、十分注意してください。“site.key”には、申請したサイトの秘密キーが格納されています。第三者に渡るようなことがないように注意してください。

    キーファイルを作成する場合、各サイトのキーファイル名が重複しないように注意してください。


  4. 証明書を発行します。
    証明書発行サイトのDirectoryサーバのコマンドプロンプト画面から、下記のコマンドを入力します。証明申請書ファイル名には、3で作成したフロッピィディスクの証明申請書ファイル名(a:site1.crq)を指定します。


    to ca -c -x証明申請書ファイル名 [-y 有効年数]

    このコマンドにより、証明申請書ファイル名と同じ名前(ただし、拡張子は“crt”)で、3で作成したフロッピィディスクに、対象サイトの証明書が作成されます。

  5. 証明書ファイルを複写します。

    1で作成した“ca.crt”と、4で作成した“site1.crt”および3で作成したキーファイルを、証明書を申請しているサイトのDirectoryサーバのインストールディレクトリに複写します。証明書ファイル名は、“site.crt”固定なので、“site1.crt”を“site.crt”に変更します。キーファイル名は、“site.key”固定なので、3で-kオペランドを指定して別のファイル名にした場合は、“site.key”に変更します。

  6. 証明書ファイルの複写先のDirectoryサーバを再起動します。

    • 証明書を受け取った各サイトは、再起動する必要があります。証明書を新規に受け取った場合や、証明書を変更した場合には、TeamWARE Officeを再起動してください。なお、証明書の発行元を再起動する必要はありません。
    • 認証用のファイルを作成し直した場合には、証明書の発行作業を再度行う必要があります。


目次 索引 前ページ次ページ

Copyright(C) TeamWARE Group Oy 2005 and Fujitsu Limited 2005 and/or their licensors